Neue Version 5.2.6
Sicherheits-Update für PHP
Die PHP-Entwickler haben die neue Version 5.2.6 bereit gestellt, in der sie mindestens fünf Sicherheitslücken beseitigt und mehr als 130 weitere Fehlerkorrekturen vorgenommen haben.
Nach dem Ende der Unterstützung für den alten PHP4-Zweig Ende 2007 konzentrieren sich die PHP-Entwickler ganz auf PHP 5 und haben jetzt die Version 5.2.6 bereit gestellt. Neue Funktionen bringt diese Version nicht, sie dient der Beseitigung diverser Fehler und Schwachstellen. So haben die Entwickler von PHP mehr als 130 Bug-Fixes vorgenommen und einige Sicherheitslücken geschlossen.
Bei den Angaben über die Zahl der beseitigten Schwachstellen gibt allerdings eine Diskrepanz zwischen dem ChangeLog und den Release Notes. Ersteres nennt fünf, Letzteres hingegen sechs gestopfte Sicherheitslücken. Ein ausgemerzter Ganzzahlüberlauf in der Funktion printf() taucht im ChangeLog nur als normaler Bug-Fix auf, während er in der Release Notes als sicherheitsrelevante Verbesserung erscheint.
Die FastCGI-Schnittstelle früherer PHP-Versionen enthält einen in Version 5.2.6 beseitigten Fehler, durch den Angreifer einen Pufferüberlauf provozieren könnten. Im Kommunikationsmodul cURL haben die Programmierer eine Schwachstelle beseitigt, durch die Angreifer den Safe Mode von PHP umgehen können. Das in PHP enthaltene Modul zur Verarbeitung Regulärer Ausdrücke (PCRE) liegt nun in der Version 7.6 bei, die verschiedene Sicherheitslücke beseitigen soll.
Die Entwickler empfehlen jedem, der PHP einsetzt, den umgehenden Wechsel zu aktuellen Version.
